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Verfahren zum Schutz vor unerlaubtem Zugriff auf ein Feldgerat in der 

Prozessautomatisierungstechnik 

Die Erfindung betrifft ein Verfahren zum Schutz vor unerlaubtem Zugriff auf 
ein Feldgerat in der Prozessautomatisierungstechnik gemd& dem OberbegrifT 
des Anspruchs 1 . 

In der Prozessautomatisierungstechnik werden vielfach Feldgerate 
eingesetzt, die in einem industriellen Prozessablauf verschiedene 
Prozessvariable messen (Sensoren) oder RegelgroRen steuern (Aktoren). 
Sensoren zur Durchfluss-, FQIlstands-, Druck-, Temperaturbestimmung etc. 
sind allgemein bekannt. Zur Erfassung der entsprechenden Prozessvariablen 
Massen- oder Volumendurchfluss, FullhShe, Druck, Temperatur, etc. sind die 
Sensoren in unmittelbarer Ndhe zu der betreffenden Prozesskomponente 
angeordnet. 

Als Beispiel fOr Aktoren sind steuerbare Ventiie zu nennen. die den 
Durchfluss einer FIQssigkeit oder eines Gases in einem 
Rohrleitungsabschnitt regeln. 

Die Sensoren liefern Messwerte, die dem aktuellen Wert der erfassten 
Prozessvariable entsprechen. DIese Messwerte werden an eine 
Steuereinheit z. B. SPS (Speicherprogrammierbare Steuerung), Warte- oder 
Prozessleitsystem PLS uber einen Datenbus weitergeleitet. 

In der Regel erfolgt die Prozesssteuerung von der Steuereinheit, wo die 
Messwerte verschiedener Feldger3te ausgewertet werden und aufgrund der 
Auswertung Steuersignale fOr die entsprechenden Aktoren erzeugt werden. 
Neben der reinen MesswertQbertragung kSnnen Feldgerdte auch zusatzliche 
Informationen (Diagnose, Status, etc.) an die Steuereinheit Qbertragen. Die 
Parametrlerung und Konfigurierung der Feldgerdte erfolgt ebenfalls Uber den 
Datenbus. 
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Die SignalQbertragung zwischen Feldgerat und Steuereinhelt kann in 
analoger oder digitaler Form erfolgen, bekannte Standards sind HART®, 
Profibus®, Foundation Fieldbus® oder CAN®-Bus. Vielfach ist der Datenbus 
mit einem Qbergeordneten FIrmennetzwerk verbunden. Zwischen dem 
Datenbus (Feldbus) und dem FIrmennetzwerk dient ein Controller als 
Gateway. Ober das FIrmennetzwerk erfolgt Insbesondere die 
Prozessbeobachtung sowie die Prozessvlsuallsierung und das Engineering 
mittels enteprechender Rechnereinhelten. 

Feldbus und FIrmennetzwerk bezeichnet man auch als 
Prozesskontrollsystem. 

Die Sicherheitsanfordemngen an Prozesskontrollsysteme werden immer 
strenger, deshalb sind in vielen Untemehmen Prozesskontrollsysteme von 
anderen Firmennetzwerken (SAP. Business) streng getrennt. Dadurch sollen 
unerlaubte Zugriffe auf FeldgerSte vennelden werden. Momentan 
konzentrleren sich die Anstrengungen Im Hinblick auf SIcherheit bel 
Prozesskontrollsystemen auf die Netzwerk-Ebene. 

Zur Vermeldung von firmenfremden Angriffen werden sogenannte Firewalls 
eingesetzt- Neben flnnenfremden Angriffen sind aber firmenlnterne Angriffe 
ebenso gefahrlich. Be! firmeninternen Angriffen konnen z. B. Parameter in 
Feldgeraten geSndert werden oder die gesamte Kontrollstrategie geandert 
werden. Dies kann zu erheblichen Produktionsstorungen fQhren. 

Aus diesem Grunde sind Programme, die die Parametrlerung, Konfigurierung 
und eine VerSnderung der Kontrollstrategie ennoglichen (SCADA-Systeme 
Oder Configuration Tools) mit einem Passwortschutz ausgestattet. Hierbei ist 
auch eine Authorislerung der Personen die Anderungen durchfOhren 
notwendlg. 



• 
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Z. B. kdnnen bei dem Centum CS 1000 Prozesskontrollsystem von 
Yokogawa kritische FunktionsblScke, die z.B. in Feldgeraten ablaufen, nur 
Qber die Eingabe von zwei Passwdrtem versohiedener Personen geSndert 
werden. 

Bel der FIrma Endress + Hauser gibt es ein Sicherheitsschutz gegen 
unberechtigtes dndem von Parametem be! Feldgeraten Qber eine 
Veniegelung. Die Person, die Anderung vomehmen mochte, muss am 
Feldgerat einen Code eingeben bevor Anderungen am Feldgerat moglich 
werden. 

Heutige Prozesskontrollsysteme arbeiten hMufig auf Ethernet-Basis. Hierbei 
ist es relativ einfach Qber eine entsprechende Konfiguriereinheit (Laptop, 
Handheld) direkt auf die Feldgerate zuzugrelfen und dabei Parameter und 
EInstellungen an diesen zu andem. Mit einer derartlgen zusatzlichen 
Konfiguriereinheit ist es ohne weiteres mdglich audi die gesamte 
Kontrollstrategie zu Sndem. 

Eine Kontrollstrategie kann z. B. mit dem 302 Syscon von der FIrma SMAR 
erzeugt werden und In die Feldgerate geladen werden. 

Aufgabe der Erfindung ist es ein Verfahren zum Schutz vor unerlaubtem 
Zugriff auf ein Feldgerat anzugeben, das unerlaubte Anderungen an der 
Konflgurierung von Feldgeraten verhindert und das kostengQnstig und 
einfach durchfOhrbar ist. 

Geldst wird diese Aufgabe durch das In Anspruch 1 angegebene Verfahren. 



Wesentliche Idee der Erfindung Ist es, im Feldgerat selbst ein 
SIcherheitsprogramm abzuspelchem, das bel einem Zugriff auf das Feldgerat 
Qber den Datenbus eine Berechtigungsprufung durchfuhrt. Dadurch kann 
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eine Manipulation am Feldgerat durch Nichtbereclitigte In einfacher Welse 
verhindert werden. 

Vorteilhafte Weiterentwicklung der Erflndung sind in den UnteransprQchen 
angegeben. 

Nachfolgend 1st die Erflndung anhand eines In der Zeichnung dargesteiKen 
AusfQhrungsbeispiels ndher eridutert. 

FIgur 1 zeigt ein Prozesskontrollsystem das einen Datenbus 5 und ein 
Finnennetzwerk 15 die Qber einen Controller 7 (Linking Device) mitelnander 
verbunden sind, umfasst. An den Datenbus 5 ( Feldbus) sind verscliiedene 
Sensoren S1, S2, S3, S4 angeschlossen, die zur Bestimmung der Fullhohe h 
einer FlUssigkeit in einem Behalter 1 dienen. Am Behalter 1 ist weiterhin eine 
Anzeigeeinheit 4 angeordnet. Der Datenbus 5 Ist weiterhin mit einer Remote 
I/O- Einheit 9 verbunden, die den Anschluss verschiedener 4 bis 20 mA 
Messgerate eriaubt. 

An das Firmennetzwerk 15 sind verschiedene Rechnersysteme 1 1 , 12 
angeschlossen, die z. B. eine Prozessvisualisierung ermdglichen oder zum 
Engineering der Prozessanlage dienen. 

In Figur 2 Ist ein Funktionsblock dargestellt, der definierte 
Kommunikationsschnittstellen aufweist. 

Modeme Datenbusse eriauben nicht nur die DatenQbertragung zwischen 
einem Sensor und eIner Qbergeordneten EInheit sondern auch die 
Ausftihrung standardlsierter Anwendungsfunktionen wie sle z. B. durch die 
Fieldbus Foundation® oder die Profibus Nutzer Organisation PNO ® definiert 
sind. Funktionsbldcke besitzen eine selbstandige Kommunlkatlonsfdhigkeit 
und eriauben im Zusammenspiel mit unterschledlichen Feldgerdten 
komplizlerte Steuervorg^nge auszufUhren. 
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Ein einfacher Funktlonsblock ist eln PID-Regler der mit einem Funktionsblock 
in einem Sensor und einem Aictor kommuniziert. In Fig. 2 ist ein PID-Regler 
Funktionsblock PID dargestellt, der mit einem Analog Input Al und einem 
Analog Output AO- Funktionsblock verbunden ist. Die Parameter der 
Funktionsblocke werden bei der Konfiguration und Parametrlerung der 
Feldgerate festegelegt. Sie bestimmen Im wesentlichen die Funktionalitat des 
Feldgerates bzw. der Kontrollstrategie. Da sich bei FunktlonsblScken urn 
standardisierte Anwendungsfunktlonen handelt, eriauben sie das 
Zusammenspiel von versciiiedenen FeldgerSten unterschledlicher Hersteller 
zur AusfOhrung aufwendiger Kontrollstrategien. 

Mit Hilfe von entsprechenden Tools (z.B. Syscon 302) kann die gesamte 
Kontrollstrategie bzw. einzelne Parameter von FunktionsblScken geandert 
werden. Dies kann bei unberechtigtem Zugriff zu erheblichen Fehlfunktionen 
Im Prozessablauf fohren. 



Ein wesentlicher Aspekt der Erfindung ist es, Im Feldgerat eln 
Sicherheitsprogramm abzuspeicliem. das bei einem Zugriff auf das Feldgerat 
Qber den Datenbus eine BerechtigungsprOfung des Zugriffs durchfiilirt. Greifl 
ein Unberechtigter Dber den Datenbus auf das Feldgerat zu und versuclit 
Parameter von im Feldgerat abgespeicherten FunktionsblQcke zu andem 
Oder Funktionsblocke auszutauschen, so wird dies durch die 
BereciitlgungsprQfung verhindert. Nur bereciitigte Personen haben Zugriff 
auf das Feldgerat. 

In einfacher Weise ist das Siciierheitsprogramm Tell eines Funktionsblocks. 
Alternativ kann das Sicherheitsprogramm auch Tell einer im Feklgerat 
abgespeicherten Firmware seln. 

Das Sicherheitsprogramm umfasst z. B. einen SIcherheitsschlQssel der aus 
einem 128 Bit-Code Oder einem langerem Bit-Code besteht. Je mehr Bits der 
Code aufwelst, desto schwierlger Ist ein ..Knacken" des Codes. 
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Der SicherheitsschlQssel kann bei der Installation des Feldgerates erzeugt 
und In diesem abgespeichert werden. 

Altemativ ist der Sicherheitsschlussel bereits im Feldgerat abgespeichert. 

Nur mit dem richtigen SicherheitsschlQssel lassen sich Anderungen an den 
EInstellungen des Feldgerates insbesondere an den FunktlonsblScken 
vomehmen. 

Es gibt prinzipiel rwei Mdgllchkelten auf das Feldgerat zuzugrelfen. Entweder 
wird ein verschlQsseltes Password an das FeldgerSt gesendet. das mit Hilfe 
des SIcherheltsprogramms entschlQssett und gepruft wird oder es werden die 
Daten die an ein GeSt gesendet werden verschlQsselt und das 
Sicherheitsprogramm entschlusselt diese mit dem abgespeicherten 
SchiUssei. 

Urn eine noch hohere Sicherheit zu erhalten, wird der SicherheitsschlQssel 
regelmSBig geandert. Dies kann z. B. tSglich oder stQndlich erfolgen. Je 
kOrzer die AbstSnde zwischen dem Erzeugen eines neuen 
SicherheitsschlQssels und entsprechendem Abspeichern ist, desto schwerer 
werden unerwQnschte Manlpulationen. 

Vorteilhaft ist die Spelcherung des SicherheitsschlQssels nur im Feldgerat. 
Unter Feldgeraten sollen nicht nur Aktoren und Sensoren verstanden 
werden, sondem auch Controller, PLCs und Linking Devices. Im Prinzip aile 
Gerate, die Qber den Datenbus angesprochen und deren EInstellungen Qber 
den Datenbus geandert werden konnen. 
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Patentanspruche: 

1 . Verfahren zum Schutz vor uneriaubtem Zugrlff auf ein Feldgerat, das uber 
einen Datenbus mit einer Steuereinhelt verbunden ist, dadurch 
gekennzeichnet, dass Im Feldgerat ein Sicherheitsprogramm 
abgespeichert ist, das bei einem Zugrlff auf das Feldgerat Qber den 
Datenbus eine BerechtigungsprOfung durchfohrt. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das 
Sicherheitsprogramm Teil eines Funktionsblocks ist. 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das 
Sicherheitsprogramm Tell der im Feldgerat abgespeicherten Finnware ist 

4. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass das Sicherheitsprogramm einen 
SicherheltsschlQssel umfasst, der bei der Konfiguration des FeldgerStes 
Im Feldgerat abgespeichert wind. 

6. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass der Sicherheitsschliissel zumindest ein128 Bit- 
Code ist, 

6. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass der SicherheltsschlQssel bei der Installation des 
Feldgerates erzeugt wird. 

7. Verfahren nach einem der vorhergehenden AnsprQche 1-5, dadurch 
gekennzeichnet, dass der SicherheltsschlQssel vom Feldgerat gellefert 
wird. 
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8. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass der Sicherheitsschlussel regelmaftig erneuert wird. 

9. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass der Sicherheitsschlussel stQndlich erneuert wird. 

10. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass der Sicherheitsschlussel nur im Feldgerat 
abgespeichert wird. 

11. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass Feldgerate Sensoren, Aktoren, Controller, PLCs, 
Oder Gateways sind. 



'9 
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Zusammenfassung 



Bei einem Verfahren zum Schutz vor unerlaubtem Zugriff auf ein FeldgerSt, 
das Uber einen Datenbus mit einer Steuereinheit verbunden ist, wird im 
Feldgerdt ein Sicherheitsprogramm abgespeichert ist, das bei einem Zugriff 
auf das FeldgerSt Qber den Datenbus eine BerechtigungsprQfung durchfQhrt. 
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